سلمان دهمش

سكربت عمل نسحة احتياطية لليوزر منجر واعدادات النظام Backup Mikrotik usermanager + configration طبعا الاسكربت مجهز لعمل نسخة احتياطية  للذاكرة الخارجية يوميا  يتم وضع السكربت في مجدولة  وتحديد الوقت لعمل نسخة احتياطية يتم تغيير اسم الهارد الخارجي في الاسكربت من  disk2 . الى اسم الهارد الخاص بك بكل سهولة :سكربت   :local ts [/system clock get time] :set ts ([:pick $ts 0 2].[:pick $ts 3 5].[:pick $ts 6 8]) :local ds [/system clock get date] :set ds ([:pick $ds 7 11].[:pick $ds 0 3].[:pick $ds 4 6]) :local fname ("umdb-".[/system identity get name]."-".$ds.$ts.".backup") /system backup save name="/disk2/$fname.backup"; /tool u d save name="/disk2/$fname.umb"; 

/interface list add name=PPPOE { :foreach i in=[/interface pppoe-client find ] do={ :local a [/interface pppoe-client get $i name]; /interface list member add list=PPPOE interface=$a comment=salmandahmash; } } /ip firewall raw add action=drop chain=prerouting dst-port=53,8728 in-interface-list=PPPOE protocol=tcp add action=drop chain=prerouting dst-port=53 in-interface-list=PPPOE protocol=udp

  VLAN FILTERING / MIKROTIK اقدم لكم طريقة عمل VLAN filtering بالشكل الصحيح في سرفر  Mikrotik .   سكربت : { :foreach i in=[/interface vlan find] do={ :local b [/interface vlan get $i vlan-id]; /interface bridge vlan add bridge=out tagged=ether2,out vlan-ids=$b ; } } نسخ شرح الاسكربت : تغيير اسم البريدج الخاص بشبكتك بدلا من out في الاسكربت السابق ثم انسخ الاسكربت والصق في نيوترمنال   المرحلة الثانية من القائمة  bridge / vlan  تقوم بتحديد المنفذ الخاص بالفيلان في tagged مثال لدينا فيلان رقم 200 في المنفذ 5 يتم تغيير المنفذ من ether2 الى ether5 في bridge/vlan  ونفس الشيء لبقية الفيلانات . انا ما انصح بعمل tagged لكل المنافذ في حال وجود فيلان مكرر تحدث مشكلة وايضا  الbridge host يتضاعف العدد بشكل كبير.  طبعا انا عملت المنفذ الافتراضي في الاسكربت ether2 وبعد الانتهاء من ترتيب كل فيلان في المنفذ الخاص به بتروح الى bridge وتفتح البردج ويتم تفعيل خيار vlan-filtering  ثم النقر على OK واخيراً اعادة تشغيل النظام ملحوظة : يجب عمل نس...

يقوم هذا الاسكربت بمعرفة اجهزة DHCP snooping الغير مصرح لها في الشبكة وحظرها واظهار تفاصيل الجهاز في تسجيلات النظام Log ويفضل استخدام الاسكربت بدلا من خيارDHCP snooping في bridge   لكي يتم معرفة هوية الجهاز عن طريق  ip + mac address الجهاز عن طريق log .. للمزيد من التفاصيل عن DHCP snooping عن طريق الرابط  https://help.mikrotik.com/docs/spaces/ROS/pages/328068/Bridging+and+Switching#BridgingandSwitching-DHCPSnoopingandDHCPOption82 و اخيرا سكربت الحماية : /interface bridge nat add action=drop chain=dstnat disabled=no ip-protocol=udp log-prefix=DHCP-SNOOPING mac-protocol=ip src-port=67 نسخ

ملخص عن الحماية حماية حظر Multicast (igmp-proxy)  مهم جدا خاصة للشبكات الذي يستخدموا اكسس بوينت مثل tplink 801 وغيرها من الاجهزة الذي يعمل فيها igmp proxy افتراضيا بالتالي يحصل تهنيج وثقل في الشبكة ,,    ملحوظة  : يقوم الفايرول بحظر ترافك Multicast اجهزة الجوال والكمبيوتر بالتالي يتحسن اداء الشبكة بشكل عام . هام : الحماية تعتمد على Bridge المايكروتك وبعد نسخ الحماية ستجدها في قائمة  Bridge-Nat مزيد من التفاصيل عن طريق الرابط  https://help.mikrotik.com/docs/spaces/ROS/pages/328068/Bridging+and+Switching#BridgingandSwitching-IGMP/MLDSnooping سكربت الفايرول IPV4 + IPV6 : /interface bridge nat add action=drop chain=dstnat dst-mac=01:00:5E:00:00:00/FF:FF:FF:00:00:00 packet-type=multicast /interface bridge nat add action=drop chain=dstnat dst-mac=33:33:00:00:00:00/FF:FF:FF:00:00:00 mac-protocol=ipv6 packet-type=multicast ⁩ نسخ   انتهى الشرح .